Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Blocage du pilote SBP-2 et des contrôleurs Thunderbolt afin de réduire les menaces d'accès direct à la mémoire (DMA) Thunderbolt et d'accès direct à la mémoire (DMA) 1394 à l'encontre de BitLocker

La prise en charge de Windows Vista Service Pack 1 (SP1) a pris fin le 12 juillet 2011. Pour continuer à recevoir des mises à jour de sécurité pour Windows, assurez-vous que vous exécutez Windows Vista avec Service Pack 2 (SP2). Pour plus d'informations, reportez-vous au site Web de Microsoft à l'adresse suivante : Certaines versions de Windows ne seront bientôt plus prises en charge.
Symptômes
Un ordinateur protégé par BitLocker peut être vulnérable aux attaques d'accès direct à la mémoire (DMA) lorsque l'ordinateur est mis sous tension ou lorsqu'il est en veille, notamment lorsque le bureau est verrouillé.

BitLocker avec authentification TPM uniquement permet de mettre un ordinateur sous tension sans aucune authentification de prédémarrage. Par conséquent, un utilisateur malveillant peut effectuer des attaques DMA.

Dans ces configurations, un utilisateur malveillant peut rechercher les clés de chiffrement BitLocker dans la mémoire système en usurpant l'ID du matériel SBP-2. Il utilise pour ce faire un dispositif d'attaque connecté à un port 1394. Un port Thunderbolt actif permet également d'accéder à la mémoire système pour exécuter une attaque.

Cet article s'applique aux systèmes suivants :
  • Systèmes laissés sous tension
  • Systèmes laissés en veille
  • Systèmes utilisant uniquement le protecteur BitLocker TPM
Cause
Accès direct à la mémoire physique 1394

Les contrôleurs 1394 standards de l'industrie (compatibles OHCI) fournissent une fonctionnalité qui permet l'accès à la mémoire système. Cette fonctionnalité est fournie comme une amélioration de la performance. Elle permet de transférer directement de grands volumes de données d'un périphérique 1394 à la mémoire système, en contournant le processeur et le logiciel. Par défaut, le DMA physique 1394 est désactivé dans toutes les versions de Windows. Les options suivantes sont disponibles pour activer l'accès direct à la mémoire physique 1394 :
  • Un administrateur active le débogage du noyau 1394.
  • Une personne ayant un accès physique à l'ordinateur connecte un périphérique de stockage 1394 conforme à la spécification SBP-2
Menaces d'accès direct à la mémoire 1394 à l'encontre de BitLocker

Les contrôles de l'intégrité du système BitLocker protègent des modifications non autorisées de statut de débogage de noyau. Toutefois, un utilisateur malveillant pourrait connecter un dispositif d'attaque à un port 1394, puis usurper l'ID du matériel SBP-2. Lorsque Windows détecte l'ID du matériel SBP-2, il charge le pilote SBP-2 (sbp2port.sys) et demande au pilote d'autoriser le périphérique SBP-2 à accéder directement à la mémoire. Cela permet d'accéder à la mémoire système et de rechercher les clés de chiffrement BitLocker.

Accès direct à la mémoire physique Thunderbolt

Thunderbolt est un nouveau bus externe qui dispose de fonctionnalités permettant un accès direct à la mémoire système. Cette fonctionnalité est fournie comme une amélioration des performances. Elle permet de transférer directement de grands volumes de données d'un périphérique Thunderbolt à la mémoire système, en contournant le processeur et le logiciel. Thunderbolt n'est pris en charge dans aucune version de Windows, mais les fabricants peuvent encore décider d'inclure ce type de port.

Menaces Thunderbolt à l'encontre de BitLocker

Un utilisateur malveillant peut connecter un périphérique à objectif particulier à un port Thunderbolt et disposer d'un accès total direct à la mémoire via le bus PCI Express. Cela pourrait permettre à un utilisateur malveillant d'accéder à la mémoire système et de rechercher des clés de chiffrement BitLocker.
Résolution
Certaines configurations de BitLocker peuvent réduire le risque de ce genre d'attaque. Les protecteurs TPM+PIN, TPM+USB et TPM+PIN+USB réduisent l'effet des attaques DMA lorsque les ordinateurs n'utilisent pas le mode « veille » (suspension RAM). Si votre organisation autorise les protecteurs TPM uniquement ou prend en charge les ordinateurs en mode « veille », nous vous recommandons de bloquer le pilote Windows SBP-2 et tous les contrôles Thunderbolt afin de réduire le risque d'attaques DMA.

Pour plus d'informations sur la procédure à suivre, accédez au site Web de Microsoft suivant :

Mesure d'atténuation SBP-2

Sur le site Web précédemment mentionné, reportez-vous à la section relative à la manière d'empêcher l'installation des pilotes correspondant à ces classes d'installation de périphériques sous « Group Policy Settings for Device Installation » (Paramètres de stratégie de groupe pour l'installation de périphériques).

Voici le GUID de la classe d'installation de périphérique Plug-and-Play pour un lecteur SBP-2 :
d48179be-ec20-11d1-b6b8-00c04fa372a7

Mesure d'atténuation Thunderbolt

Important La mesure d'atténuation Thunderbolt suivante ne s'applique qu'à Windows 8 et à Windows Server 2012. Elle ne s'applique à aucun autre système d'exploitation mentionné dans la section des produits concernés.

Sur le site Web précédemment mentionné, reportez-vous à la section relative à la manière d'empêcher l'installation des périphériques correspondant à ces ID de périphérique sous « Group Policy Settings for Device Installation » (Paramètres de stratégie de groupe pour l'installation de périphériques).

Voici l'ID compatible Plug-and-Play pour un contrôleur Thunderbolt :
PCI\CC_0C0A


Remarques
  • L'inconvénient de cette mesure d'atténuation est que les périphériques de stockage externes ne peuvent plus se connecter à l'aide du port 1394 et que tous les périphériques PCI Express connectés au port Thunderbolt ne fonctionnent plus. Étant donné que les ports USB et eSATA sont très répandus et que DisplayPort fonctionne souvent, même si Thunderbolt est désactivé, les effets indésirables de ces mesures d'atténuation sont limités.
  • Si votre matériel diffère des directives actuelles d'ingénierie de Windows, il peut activer l'accès mémoire direct sur ces ports après le redémarrage de votre ordinateur et avant que Windows ne prenne le contrôle du matériel. Cela compromet votre système et cette solution de contournement n'empêche pas cette condition.
Plus d'informations
Pour plus d'informations sur les menaces DMA à l'encontre de BitLocker, reportez-vous au blog suivant de Microsoft sur la sécurité : Pour plus d'informations sur les mesures d'atténuation des attaques à froid contre BitLocker, reportez-vous au blog suivant de l'équipe de l'intégrité Microsoft :
mise à jour sécurité_correctif sécurité_mise à jour sécurité bogue défaut vulnérabilité utilisateur malveillant exploiter Registre non authentifié saturation de la mémoire tampon étendue spécialement formée refus de service spécialement prévu DoS TSE Thunderbolt DMA accès mémoire direct Firewire SBP-2 1394
Propriétés

ID d'article : 2516445 - Dernière mise à jour : 08/09/2012 09:41:00 - Révision : 8.0

Windows 7 Service Pack 1, Windows 7 Édition Familiale Basique, Windows 7 Édition Familiale Premium, Windows 7 Professionnel, Windows 7 Édition Integrale, Windows 7 Entreprise, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Vista Service Pack 2, Windows Vista Service Pack 1, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Hyper V, Windows Server 2012 Standard, Windows 8, Windows 8 Professional, Windows 8 Enterprise

  • kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Commentaires